A política de segurança da informação deve ser divulgada a todos da organização, de maneira formal e efetiva, informando-se todos os detalhes da sua implementação, a forma como ela deve ser cumprida e as penalidades aplicáveis em caso da sua não observância.